Konfigurieren von VPN-Gatewayeinstellungen für Azure Stack Hub
Ein VPN-Gateway ist eine Art von Gateway für virtuelle Netzwerke, mit dem verschlüsselter Datenverkehr zwischen Ihrem virtuellen Netzwerk in Azure Stack Hub und einem Remote-VPN-Gateway gesendet wird. Das Remote-VPN-Gateway kann sich in Azure befinden, es kann sich dabei aber auch um ein Gerät in Ihrem Datencenter oder um ein Gerät an einem anderen Standort handeln. Falls die beiden Endpunkte über Netzwerkkonnektivität verfügen, können Sie zwischen den beiden Netzwerken eine sichere S2S-VPN-Verbindung (Site-to-Site) herstellen.
Ein VPN-Gateway basiert auf der Konfiguration mehrerer Ressourcen, von denen jede konfigurierbare Einstellungen enthält. In diesem Artikel werden die Ressourcen und Einstellungen beschrieben, die sich auf ein im Resource Manager-Bereitstellungsmodell erstelltes VPN-Gateway für ein virtuelles Netzwerk beziehen. Beschreibungen und Topologiediagramme für die einzelnen Verbindungslösungen finden Sie im Artikel mit Erstellen von VPN-Gateways für Azure Stack Hub.
Einstellungen von VPN-Gateways
Gatewaytypen
Jedes virtuelle Azure Stack Hub-Netzwerk unterstützt ein einzelnes Gateway für virtuelle Netzwerke, das vom Typ VPN sein muss. Diese Unterstützung unterscheidet sich von Azure, das zusätzliche Typen unterstützt.
Achten Sie beim Erstellen eines Gateways für virtuelle Netzwerke darauf, dass der Gatewaytyp für Ihre Konfiguration richtig ist. Ein VPN-Gateway erfordert das -GatewayType Vpn
-Flag. Beispiel:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Gateway-SKUs ohne AKTIVIERTE VPN-Schnellpfade
Wenn Sie ein Gateway für virtuelle Netzwerke erstellen, müssen Sie die SKU angeben, die Sie verwenden möchten. Wählen Sie die SKUs aus, die Ihre Anforderungen basierend auf den Arten von Workloads, Durchsatz, Features und SLAs erfüllen.
Sie können 10 Hochleistungsgateways oder 20 Basic- und Standardgateways verwenden, bevor Sie die maximale Kapazität erreichen.
Die folgende Tabelle zeigt die VPN-Gateway-SKUs, die für Azure Stack Hub angeboten werden:
SKU | Maximaler VPN-Verbindungsdurchsatz | Maximale Anzahl von Verbindungen pro aktiver GW-VM | Maximale Anzahl von VPN-Verbindungen pro Stempel |
---|---|---|---|
Grundlegend | Tx/Rx mit 100 MBit/s | 10 | 20 |
Standard | Tx/Rx mit 100 MBit/s | 10 | 20 |
Hohe Leistung | Tx/Rx mit 200 MBit/s | 5 | 10 |
Gateway-SKUs mit aktiviertem VPN-Fast Path
Mit der Veröffentlichung der öffentlichen VPN Fast Path-Vorschau unterstützt Azure Stack Hub drei neue SKUs mit höherem Durchsatz.
Neue Grenzwerte und Durchsatz werden aktiviert, sobald VPN Fast Path für Ihren Azure Stack-Stempel aktiviert ist.
Die folgende Tabelle zeigt die VPN-Gateway-SKUs, die für Azure Stack Hub angeboten werden:
SKU | Maximaler VPN-Verbindungsdurchsatz | Maximale Anzahl von Verbindungen pro aktiver GW-VM | Maximale Anzahl von VPN-Verbindungen pro Stempel |
---|---|---|---|
Grundlegend | Tx/Rx mit 100 MBit/s | 25 | 50 |
Standard | Tx/Rx mit 100 MBit/s | 25 | 50 |
Hohe Leistung | Tx/Rx mit 200 MBit/s | 12 | 24 |
VPNGw1 | Tx/Rx mit 650 Mbit/s | 3 | 6 |
VPNGw2 | Tx/Rx mit 1000 Mbit/s | 2 | 4 |
VPNGw3 | Tx/Rx mit 1250 Mbit/s | 2 | 4 |
Ändern der Größe von GATEWAYS für virtuelle Netzwerke
Azure Stack Hub unterstützt keine Größenänderung von einer unterstützten Legacy-SKU (Basic, Standard und HighPerformance) in eine neuere SKU, die von Azure unterstützt wird (VpnGw1, VpnGw2 und VpnGw3).
Neue Gateways und Verbindungen für virtuelle Netzwerke müssen erstellt werden, um die neuen SKUs verwenden zu können, die durch VPN Fast Path aktiviert sind.
Konfigurieren der Gateway-SKU für virtuelle Netzwerke
Azure Stack Hub-Portal
Wenn Sie das Azure Stack Hub-Portal verwenden, um ein Gateway für virtuelle Netzwerke zu erstellen, kann die SKU mithilfe der Dropdownliste ausgewählt werden. Die neuen VPN-Fast Path-SKUs (VpnGw1, VpnGw2, VpnGw3) sind erst sichtbar, nachdem der Abfrageparameter "?azurestacknewvpnskus=true" zur URL hinzugefügt und aktualisiert wurde.
Mit dem folgenden URL-Beispiel werden die neuen Gateway-SKUs für virtuelle Netzwerke im Azure Stack Hub-Benutzerportal angezeigt:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Vor dem Erstellen dieser Ressourcen muss der Operator VPN Fast Path für den Azure Stack Hub-Stempel aktiviert haben. Weitere Informationen finden Sie unter VPN Fast Path für Operatoren.
PowerShell
Im folgenden PowerShell-Beispiel wird der Parameter -GatewaySku
als Standard angegeben:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
-GatewayType Vpn -VpnType RouteBased
Verbindungstypen
Im Resource Manager-Bereitstellungsmodell ist für jede Konfiguration ein bestimmter Typ der Verbindung mit dem Gateway eines virtuellen Netzwerks erforderlich. Der verfügbare Resource Manager-PowerShell-Wert für -ConnectionType
ist IPsec.
Im folgenden PowerShell-Beispiel wird eine Site-to-Site-Verbindung (S2S) erstellt, die den Verbindungstyp „IPsec“ erfordert:
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
VPN-Typen
Wenn Sie das Gateway des virtuellen Netzwerks für eine VPN-Gatewaykonfiguration erstellen, müssen Sie einen VPN-Typ angeben. Der ausgewählte VPN-Typ hängt von der Verbindungstopologie ab, die Sie erstellen möchten. Der VPN-Typ kann zudem von der verwendeten Hardware abhängen. S2S-Konfigurationen erfordern ein VPN-Gerät. Einige VPN-Geräte unterstützen nur einen bestimmten VPN-Typ.
Wichtig
Aktuell unterstützt Azure Stack Hub nur den routenbasierten VPN-Typ. Wenn Ihr Gerät nur richtlinienbasierte VPNs unterstützt, werden Verbindungen mit diesen Geräten über Azure Stack Hub nicht unterstützt.
Darüber hinaus unterstützt Azure Stack Hub derzeit nicht die Verwendung richtlinienbasierter Datenverkehrsselektoren für routenbasierte Gateways, da Azure Stack Hub richtlinienbasierte Datenverkehrsselektoren nicht unterstützt, obwohl sie in Azure unterstützt werden.
PolicyBased: Bei richtlinienbasierten VPNs werden Pakete verschlüsselt und durch IPsec-Tunnel geleitet. Grundlage hierfür sind die IPsec-Richtlinien, die jeweils durch die Kombination aus Adresspräfixen zwischen Ihrem lokalen Netzwerk und dem Azure Stack Hub-VNET konfiguriert werden. Die Richtlinie (auch Datenverkehrsselektor genannt) ist in der Regel eine Zugriffsliste in der VPN-Gerätekonfiguration.
Hinweis
PolicyBased wird in Azure, aber nicht in Azure Stack Hub unterstützt.
RouteBased: Bei routenbasierten VPNs werden Pakete auf der Grundlage von Routen, die in der IP-Weiterleitungstabelle oder -Routingtabelle konfiguriert sind, an die entsprechenden Tunnelschnittstellen weitergeleitet. An den Tunnelschnittstellen werden die Pakete dann ver- bzw. entschlüsselt. Die Richtlinie (bzw. der Datenverkehrsselektor) für routenbasierte VPNs wird im Any-to-Any-Format (bzw. unter Verwendung von Platzhaltern) konfiguriert. Sie können standardmäßig nicht geändert werden. Der Wert für einen RouteBased-VPN-Typ lautet RouteBased.
Das folgende PowerShell-Beispiel gibt -VpnType
als RouteBasedan. Achten Sie beim Erstellen eines Gateways darauf, dass -VpnType
für Ihre Konfiguration richtig ist.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
Unterstützte Konfigurationen virtueller Netzwerkgateways, wenn VPN Fast Path nicht aktiviert ist
VPN-Typ | Connection type (Verbindungstyp) | Unterstützung für aktives Routing (BGP) | Nat-T-fähiger Remoteendpunkt | |
---|---|---|---|---|
Basic-VNG-SKU | Routenbasiertes VPN | IPSec Pre-shared key (Pre-Shared Key) | Nicht unterstützt | Nicht erforderlich |
Standard-VNG-SKU | Routenbasiertes VPN | IPSec Pre-shared key (Pre-Shared Key) | Unterstützt, bis zu 150 Routen | Nicht erforderlich |
High-Performance VNG-SKU | Routenbasiertes VPN | IPSec Pre-shared key (Pre-Shared Key) | Unterstützt, bis zu 150 Routen | Nicht erforderlich |
Virtuelle Netzwerkgateways unterstützen Konfigurationen, wenn VPN Fast Path aktiviert ist
VPN-Typ | Connection type (Verbindungstyp) | Aktive Routingunterstützung (BGP) | Nat-T-fähiger Remoteendpunkt | |
---|---|---|---|---|
Basic-VNG-SKU | Routenbasiertes VPN | IPSec Pre-shared key (Pre-Shared Key) | Nicht unterstützt | Erforderlich |
Standard-VNG-SKU | Routenbasiertes VPN | IPSec Pre-shared key (Pre-Shared Key) | Unterstützt, bis zu 150 Routen | Erforderlich |
High-Performance VNG-SKU | Routenbasiertes VPN | IPSec Pre-shared key (Pre-Shared Key) | Unterstützt, bis zu 150 Routen | Erforderlich |
VPNGw1 VNG-SKU | Routenbasiertes VPN | IPSec Pre-shared key (Pre-Shared Key) | Unterstützt, bis zu 150 Routen | Erforderlich |
VPNGw2 VNG-SKU | Routenbasiertes VPN | IPSec Pre-shared key (Pre-Shared Key) | Unterstützt, bis zu 150 Routen | Erforderlich |
VPNGw2 VNG-SKU | Routenbasiertes VPN | IPSec Pre-shared key (Pre-Shared Key) | Unterstützt, bis zu 150 Routen | Erforderlich |
Gatewaysubnetz
Bevor Sie ein VPN-Gateway erstellen, müssen Sie ein Gatewaysubnetz erstellen. Das Gatewaysubnetz verfügt über die IP-Adressen, die von den virtuellen Computern und Diensten des Gateways für virtuelle Netzwerke verwendet werden. Wenn Sie Ihr Gateway für virtuelle Netzwerke und die Verbindung erstellen, wird die Gateway-VM, die die Verbindung besitzt, mit dem Gatewaysubnetz verknüpft und mit den erforderlichen VPN-Gatewayeinstellungen konfiguriert. Stellen Sie für das Gatewaysubnetz nichts anderes bereit (beispielsweise zusätzliche virtuelle Computer).
Wichtig
Das Gatewaysubnetz muss den Namen GatewaySubnet aufweisen, damit es einwandfrei funktioniert. Anhand dieses Namens ermittelt Azure Stack Hub das Subnetz, für das die VMs und Dienste des Gateways für virtuelle Netzwerke bereitgestellt werden sollen.
Bei der Gatewayerstellung geben Sie die Anzahl der im Subnetz enthaltenen IP-Adressen an. Die IP-Adressen im Gatewaysubnetz werden den Gatewaydiensten und -VMs zugeordnet. Einige Konfigurationen erfordern mehr IP-Adressen als andere. Sehen Sie sich die Anweisungen für die Konfiguration an, die Sie erstellen möchten, und vergewissern Sie sich, dass das Gatewaysubnetz, das sie erstellen möchten, diese Anforderungen erfüllt.
Stellen Sie außerdem sicher, dass Ihr Gatewaysubnetz über genügend IP-Adressen für zukünftige Konfigurationen verfügt. Sie können zwar ein Gatewaysubnetz mit einer Größe von nur /29 erstellen, aber es empfiehlt sich, ein Gatewaysubnetz mit einer Größe von mindestens /28 (/28, /27, /26 usw.) zu erstellen. Wenn Sie später Funktionen hinzufügen, müssen Sie Ihr Gateway nicht beenden und anschließend das Gatewaysubnetz löschen und erneut erstellen, um weitere IP-Adressen zu ermöglichen.
Im folgenden Resource Manager-PowerShell-Beispiel wird ein Gatewaysubnetz mit dem Namen GatewaySubnet gezeigt. Sie erkennen, das mit der CIDR-Notation die Größe /27 angegeben wird. Dies ist für eine ausreichende Zahl von IP-Adressen für die meisten Konfigurationen, die derzeit üblich sind, groß genug.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Wichtig
Vermeiden Sie bei der Verwendung von Gatewaysubnetzen die Zuordnung einer Netzwerksicherheitsgruppe (NSG) zum Gatewaysubnetz. Das Zuordnen einer Netzwerksicherheitsgruppe zu diesem Subnetz kann dazu führen, dass das VPN-Gateway nicht mehr wie erwartet funktioniert. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Filtern des Netzwerkdatenverkehrs mit Netzwerksicherheitsgruppen.
Lokale Netzwerkgateways
Wenn Sie eine VPN-Gatewaykonfiguration in Azure erstellen, stellt das Gateway des lokalen Netzwerks meist Ihren lokalen Standort dar. In Azure Stack stellt es ein beliebiges Remote-VPN-Gerät dar, das sich außerhalb von Azure Stack Hub befindet. Bei diesem Gerät kann es sich um ein VPN-Gerät in Ihrem Datencenter (oder in einem Remotedatencenter) oder um ein VPN Gateway in Azure handeln.
Sie geben dem Gateway des lokalen Netzwerks einen Namen, die öffentliche IP-Adresse des Remote-VPN-Geräts und die Adresspräfixe an, die sich am lokalen Standort befinden. Azure Stack Hub überprüft die Zieladresspräfixe für Netzwerkdatenverkehr, überprüft die Konfiguration, die Sie für Ihr lokales Netzwerkgateway angegeben haben, und leitet Pakete entsprechend weiter.
In diesem PowerShell-Beispiel wird ein neues Gateway des lokalen Netzwerks erstellt:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Manchmal müssen Sie die Einstellungen des lokalen Netzwerkgateways ändern, z.B. wenn Sie den Adressbereich hinzufügen oder ändern oder wenn sich die IP-Adresse des VPN-Geräts ändert. Weitere Informationen hierzu finden Sie im Artikel Ändern der Einstellungen des lokalen Netzwerkgateways mit PowerShell.
IPsec-/IKE-Parameter
Wenn Sie eine VPN-Verbindung in Azure Stack Hub einrichten, müssen Sie die Verbindung an beiden Endpunkten konfigurieren. Wenn Sie eine VPN-Verbindung zwischen Azure Stack Hub und einem Hardwaregerät (z. B. einem als VPN-Gateway fungierenden Switch oder Router) konfigurieren, sind für dieses Gerät unter Umständen weitere Einstellungen erforderlich.
Im Gegensatz zu Azure, das mehrere Angebote als Initiator und Antwortdienst unterstützt, bietet Azure Stack Hub standardmäßig nur Unterstützung für ein Angebot. Wenn Sie verschiedene IPSec/IKE-Einstellungen mit Ihrem VPN-Gerät verwenden müssen, stehen Ihnen weitere Einstellungen zur Verfügung, um Ihre Verbindung manuell zu konfigurieren. Weitere Informationen finden Sie unter Konfigurieren einer IPsec/IKE-Richtlinie für Site-to-Site-VPN-Verbindungen.
Wichtig
Bei Verwendung des S2S-Tunnels werden Pakete mit zusätzlichen Headern weiter verschlüsselt, wodurch sich das Paket insgesamt vergrößert. In diesen Szenarien müssen Sie TCP MSS mit 1350 verknüpfen. Wenn Ihre VPN-Geräte MSS-Clamping nicht unterstützen, können Sie stattdessen auch den MTU-Wert der Tunnelschnittstelle auf 1400 Bytes festlegen. Weitere Informationen finden Sie unter Optimieren der TCP-/IP-Leistung von virtuellen Netzwerken.
Parameter der IKE-Phase 1 (Hauptmodus)
Eigenschaft | Wert |
---|---|
IKE-Version | IKEv2 |
Diffie-Hellman-Gruppe* | ECP384 |
Authentifizierungsmethode | Vorab ausgetauschter Schlüssel |
Verschlüsselung und Hashalgorithmen* | AES256, SHA384 |
SA-Gültigkeitsdauer (Zeit) | 28.800 Sekunden |
Parameter der IKE-Phase 2 (Schnellmodus)
Eigenschaft | Wert |
---|---|
IKE-Version | IKEv2 |
Verschlüsselung und Hashalgorithmen (Verschlüsselung) | GCMAES256 |
Verschlüsselung und Hashalgorithmen (Authentifizierung) | GCMAES256 |
SA-Gültigkeitsdauer (Zeit) | 27.000 Sekunden |
SA-Gültigkeitsdauer (KB) | 33.553.408 |
Perfect Forward Secrecy (PFS)* | ECP384 |
Dead Peer Detection | Unterstützt |
* Neuer oder geänderter Parameter